La méthode HTTP TRACE contient des informations sur l’instance

Dernière mise à jour : 2023-01-23

Description

Environnement
Experience Manager

Problème/Symptômes
Un test d’intrusion a été effectué et le risque moyen suivant a été détecté : Méthode HTTP TRACE inutile activée.

Le site a été demandé avec l’en-tête de domaine, mais la réponse HTTP contient des informations sur le nom du serveur. Cela permet aux personnes malveillantes de voir le nom d’hôte d’origine et le nom d’instance AEM. L’en-tête de réponse provient des équilibreurs de charge. Est-il possible de masquer l’hôte X-Original dans les réponses HTTP ?

Résolution

La solution consiste à définir TraceEnable sur chaque vhost activé comme indiqué ci-dessous :


VirtualHost *:80
ServerName"customer-publish"
ServerAlias "customer.com"
TraceEnable off

/VirtualHost

Sur cette page